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(57) Abstract 

A double-signature electronic transaction method is disclosed. Data is signed by the card (10) using a public key algorithm comprising 
proof (z) that the card has been debited, said proof (z) being a function f(k, M) of a parameter (M) and a secret debit key (k). A terminal 
(20) thus stores but cannot check the proofs (z) of various transactions. A central system (30) collects the proofs (z), checks them using the 
secret debit key (k), and credits the payee (20) only when the result of the check is positive. The method is particulary useful for producing 
electronic purses. 
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(S7) AbrSge 

Precede de realisation d'une transaction electronique. Le precede est a double signature. Les donnees signees par la carte (10) a 
.'aide ^ScK^cimportan, une picuveWque-le deo&SeMa cate'*** effectue.cetterpreaye (z) e.ant une foncnon 
(k)M d un JS M e« d'une'c.e secrete de debit (k). Le terminal (20) stocke ainsi le. diverse* preuves w de «4«n ,s 
effectutes niais ne oeut verifier ces preuves -fi>7 Le systeme'cenrralisd (30rcbllecftf fees' preuves (z) et les venfie a 1 aide de la c\6 secrete 
de debft "kT e« ne Site le prestJire (20) qu'en cas de verification positive. Application no.amment a la realtsat.on de pone-monna.e 
electronique. — ■ " 
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M^j.a.vfRoeBDE'-DE RELALISATION :D' f ;tJNE. TJU^SAGTIQN: ELECTRONIQUE 

•"■ . .W.!. ' \!.- r V • , »' |:,r/v;j- \ , . 

; - ' i'/SECURISEE"; A (DOUBLE SIGNATURE s <. ■/ 

DESCRIPTION 

5 

Domaine technique 

La presente invention a pour objet un procede de 
realisation d 1 une transaction electronique securisee a 
double signature. 

10 L 1 invention trouve une application dans tous les 

cas ou des cerminaux ont a traiter, de fa^on securisee, 
des transactions avec des utilisateurs munis de cartes 
a puce, ces terminaux n'etant pas en connexion 
permanente avec des systemes de traitement centralises, 

15 mais seulement per iodiquement ,' lors de la collecte des 
transactions effectuees depuis ia derniere collecte. 

Etat de la technique anterieure 

Pour f3ciliter l'expose, I'exemple sera pris des 

20 transactions liees au "paiement electronique - et~ 

not ammen. t a '\££ M qu 1 1L C e v s : i' : tebh-vfenia^VcT appeier le ,r port e- 
,: ''mcynnaie ' 'elect rcnique ":, i *cu ' PMC en 3brege .» ?our ri ces 
techniques, on pourra se reporter a la revue "L'Echo 
" 'des R ; echerches" , numero special 158 , 4eme t rimes tie 
25 "1994,/ consacre - au paiement electronique. Dans l.c.e 
• numero, on pourf'a' se , reporter plus specialement •>< a 
,,1'article intitule "Signature /'. electronique -"*et 
' application au paiement elect roniqu?'" par Marc GIRAUi/T 
• et Luc VALLEE. 

. . • K • ' if' 

30 •• ' • ..... , . 'i; 

La technique . du «PHE se developpe depuis quelque.s 
annees, mais ia securiie de /ce genre d * applications 
pose encore des problemes et sus'cite done encore des 



WO 97/42610 



PGT/ER97/00!?26 



" recherches.' Di'f f e rentes Zoloft fbn's- * sont ' possibles, qui 
' " ' peuvent 'etre analysees ' souV ; 1' angle ' du 'rapport 
securite/co'ut . 

On peut rappeler" que," 'dans" 'ce type de systemes, 
5 une carte pbrte-'monnaie^ corttrerft ub sol'de" (ou balance), 
c'est-a^dire certaine quaivtite de valeurs (monnaie, 
jetons, unites de consommat ion ) et que, iors d'un 
' paiement " d'un nontant m, ce'sblde est diminue de m 
unites ; la carte produit une preuve du debit de m 
lo' unites, qui" constitue une ' garantie de ' paiement du 
commercant possedant le : terminal ' {ou serveur) , sur 
'" ; iequel 1 ' ut i lisateur ' efrectue ia transaction. Cette 
"preuve va condit ionner ' le paiement- du commercant en 
monnaie norma le par ■ 1 ' autorite ayant emis les porte- 
15 monnaie electroniques, autorite que- 1 ' on ; peut appeier 
" la banque" 

' cette preuve '"doit etre'- veritiee de fagon a eviter 
■des ! fausses cartes ': il' ne doit pas etre possible de 
creer de toute piece ' (fewest -a-dir f e v ' sans carte) une 
20 preuve susceptible 'd'etre ?j recbrinue comme etant 
authentique. Cette preuve doit y aussi eviter des 
' ' * manipulations, ' telles ; qu : e "la transformation d'un 
'.' nontant m en un montane ' tn' superieur a m, ou ia 
reutilisation de la me me preuve pour payer' ' pa r : exemple 
IS "' deux' fois le"' montant" du :, 'au commercant, ou payer de 
facon indue d'autres comitiergants'.' 
'"' ' " ' ; Dans "la suite' de"' la description, on designera les 
J dif fere'nts acte'urs : de " ces"" "systemes respect! vement par 

"utilisateur", "prestatkire" et "banque". L ' utilisateur 
' 30 possede done une carte : PME pour payer un p-res'tataire. 
La banque est 1 ' enti te ' qui emet les PME - 
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.f.n (j Les techniques .atilis.ees^ au jourd ' hui peuver.t etre 

: - G las,s;es scbematique.mpt v en trois categories, selon 
qu'elles utilisent des signatures a cle secrete, a cle 
t; publique.. ou , a ,cles., interact ives . 
5 - . Pour, ce qui est <^es or.e.mieres, on peut distinguer 

r le, cas .pu. le, terminal est de.connecte de la banque 

(autrement dijL est autonome, ou, en terminologie anglo- 
saxonne, ."offline") du. cas pu le terminal est connecte 
dir^ctement,,^ la banque. _,Le premier cas (deconnecte ou 
1-10 .^I'pff.line",) est . le plus C9urant dans les differents 
syscemes .de, ppr:e-mo.nnaie existants. II consiste a 
ca ) lcuier la p.reuve. z..avec un algorithme a cle secrete 
f f , ri .sur le parametre i r representant le numeiro de la 
/, * carte PME ,. . et ,sur , un. parametre M, qui designe 
.15, ;.l 1 ensemble de,s param^tres su.ivants : 

m : le montant de la transaction ; 
. : -.. j le. ;1 - numero ,du module de securite (appele 

:> , f , - generalement. "Secure Application Module" ou 

- -■ - , SAM ; en abrege ) . ; 
2Q: ■ r :. un-. alea ou. - plus simplement le contenu d'un 

■ ... . cpmpteur. 

: , ; Qn a done z=-f ( k , iji, 3 , r ) ou k est la cle secrete du 
PME d.' identite i, cle qui. depend de i par un mecanisme 
: . . : de diversification des cles selon le numero 1 de carte. 
25,- Le module SAM.. .est jane., carte a puce situee dans le 
terminal, qui joue.. le. role, de caisse en r eg is t reuse sure 
. e,t protegee grace.aux. qualites de securite physique des 
, cartes a puce . uciiisees ,, Ce module SAM controle done le. 
ceirti f icat . z et accumule les montants, II est 
■30-- regul ierement f vide .pour que le prestataire fasse 
enregistrer ses gains aupres de la banque, grace a une 
procedure securisee entre le module SAM et la banque, 
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: j qui ; n ' of f re" : pas- : de dif fi cu-1 te's' .parti culieres et qui ne 

• sera done : pas decrlt-e ioi v . : .-v.' 1 : : \ 

4 Pour cofitroler l"e : '' ce : rtl-f ; ica t • - le. module SAM doit 
' ' ' connaitre' <: les' -die's : de ^to'utes les ' cartes PME , ce qui, 
"5 en pratique/ es^t-- obtenu 'en 1 ; calcuiant': les- cles k des PME 
par une formule de diversification k=g(KM,i), ou KM est 
une cle maitre, vaiable poiir tout le systeme, et qui 
est dans tous les modules- SAM.--' 

1G " T Ce mode ' de mise> en - oeuvre est illustre- su.r la 

• figure 1 annexee ; ou la carte. PME de • 1 ' utili.sateur porte 
- - ' la' reference- 10, le: ? terminal^' du prestataire la 

reference 20, avec - son module SAM - 25, et: la banque la 
'reference 30. La : fleche. dirigee du terminal 20 vers la 
15 T car : te : 1C represents la - transmission ; des ; - parametres M 
'■• :t, " f vers "ia 'carte et' la. fleche- .dirigee ...en sens, contraire 
- " represenne " la t ransmis.sio-n .d;u cer.tificat -z-. -vers le 

terminal . •'• •> 

Ce premier mode de mise en oeuvre presente 
2C 1 1 ' av.arita'ge de conduire a des .'.cartes de • cout f ai.ble . 
Mais il presente - que lques : iocon venients : .. 
■ - i £ - securite esr-liee :a 1 ' impossi-billte de lire 
dans le 1 " module ' SAM ia cle maitre KM, done sur la 
securite- 'physique-. des modules .SAM, .lesquels sont 
' 2 5 : " t res - repandus p'uisque ' situes. dans. tous les 

' ' '' - ' cermihaux. Or,' Y cette securite est difficile a 
r '*' ■'- 'ga'rantir. -La connaissance de. . ia cle maitre KM 
; '" !i ' permett'rait de r^Hser des fraudes de grande 
ampieur,- en " f abiq.uant . des cartes de. numero i 
"•"30' ' • quelcon'que, qu ' aucun ■ mecanisme .de liste noire' ne 

permet trait de stopper*; 
- les modules SAM -sont situes dans les;, terminaux, ou 
" chez ^ les serveurs, ce qui . pose des. problemes 
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5 

■ pra^iqufe -.jLo^sauJ-il: f a-u t. , a c cp.p t e r j p i u s i eg .r s types 
de cartes PME, ay.e-o chacun^ lejujr-SAM ; .t'est le 
■- ';cas-v '. tres-. ^epandu.. dans la ; prat i,que : , .^ou il n ! y a 

. pas- r -q.u'une : > : seuie ; : ba.nque . mais. 4 plusieurs, 
5 suseeptibles : d^emettr.e leurs.-propres: cartes PMC. 

Pour .ce qui est- maintenant du cas ou- le. terminal 
du prestataire est .connect, e a la banque ..("online") , le 
module de securite SAM n'existe plus dans le terminal, 
1CM- ef: le . iconz role. " du cer.tificat doit se faire dans • la 
• ' bahque.- Cette . solution*, .est illustree, sur la figure 2 
■ r - a'nnexee avec le<S: .meme-s: references que sur la figure 1. 

'Cette solution ; .n'..est pas, tres int.eressante en 
' -> - f pratiqufiv car -.elle r , enpralne . des r couts de 
; 15 ' tele'communication ■ important s->. ■, Or, un. port.e-monnaie 
electronique - doi t rester. 1 un mo yen de . paiemenc ..rentable, 
meme pour des transactions-, portant su-r de tres petits 
men t ant s . ' . ; ■ .. » 

20 - Pour eeJvqui est main-tenant des systemes utilisant 

un proded^ndei : signature .■aiye'Q .a.igor Lt-hme. a cle publique, 
ori ' 'peu't ^encore distinquer deux, cas selon que 1 ' on 

: utllis'e ou n'oni un module de - securite SAM.. 

- v .j:. . si Von. 'rt' utilise- pas:, de .module SAM , le certif icat 

25 ■ z des systemes precedents utilisant des' cles secretes 
-est remplace par une -.signature basee t sur un algorithme 
a cle publique tel;. que 1- algorithme RSA ("Rivest- 
Shamir-Adleman M ) . ; Ghaque carte ; possede un couple de 

l " cles secrete et publique, respect ivemen.t s et p, et la 

^30 " preuv-e du debit defini - par .ie par^metre..M est obtenue 
par le calcul d 1 une : signa tur-e y=s(M). 

-• : • Cette i Signature ..peut- etre . venfiee par le . 

■ *■ -prestataire, :en u t i 1 i s.a.n t ■ la. cle- publique. Toutes les 
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signatures peuvent_ etre . stockees, puis collectees 
periodiquement pour faire enregistrer. l^s ,paiements par 
la banque. Dans ce . type de. realisation, il faut aussi 
que la cle publique p soit certifiee par 1 ' autor ite . qui 
5 emet les cartes, car le fait de posseder un couple de 
cles s e: p ne prouve pas, qu'il .s'a^isse d'une carte 
PME authentique : il est en ef f e t , .f aci.Le de trouver de 
tels couples avec, par exemple, d$s iogicieis sur 
calculateur personnels adaptes. II faut done. que. le PME 
10 transmette au terminal non seulement sa ,cie publique p, 
mais aussi un certificat lie a la cle publique .p. Dans 
la suite, on notera "cer" ce certificat. Le certificat 
"cer" est verifie avec la cle publique PA de la banque. 

15 La figure 3 annexee illustre cette. variante. Les 

references sont les memes, mais on note, dans le 
terminal 20 du prestataire, un moyen de collecte (ou de 
memorisation) 26 capable de stocker les numeros des 
cartes i, les parametres M, les certificats ..cer. e: _les 

20 sianatures. y. 

L'avantage de ce systeme tient a .ce qu'il n'existe 
plus de cle malt re secrete dans les terminaux, avec les 
risques que cela comport ait, ni de modules SAM. Le 
systeme est done . plus . sur et presents une meilleure 

25 flexibility. 

Mais ce sysceme presence des inconvenient s : 

- le cout des cartes, capables de faire des calculs 

fondes sur des algorithmes a cle publique de type 
RSA est eleve, car la puissance de calcul 
30 necessaire, a temps de reponse donne, est 

importance ; 

- la quancite de donnees a memoriser dans le 

terminal e: a coilecter est impcrtante : en 
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effet, par transaction, il faut memoriser K, et 
y ; cet ensemble de donriees represente, avec les 
' longueur's douranteV "de dies publi'ques" (512 bits, 
: un erisemBte^de 1*' ordre" ' de* i , 5' ' Kbits '.' 

Dans la variante avec module" de securite SAM, on 
accumule les transact ions" dans le"' terminal et on les 
fait colUedter' ensuite par la "banque. L 1 operation 
d' accumulation etarit " sensible du point* "de vue sVcurite, 
10 p'uisqu'une fraude tent: ante serait de modified chez le 
pres- ataire ie montant accumule, il est necessaire 
d'avoir un "module ? SAM qui' verif ie les signatures des 
transactions' et res accumule. " 

15 La figure 4 annexee illustre cette variante avec 

xes nemes references. 

L'avantage de cette''' variante tient a ce qu'il n'y 
a plus ce" cle Ynaitre secrete dans le terminal; 'ce qui 
conduit a une "rr.eilleure securite; Mai's des 

20 incoriverii'e'rics demeureric , qui sent doubles : ' 

- le cout des cartes capabies de ' faire des" calculs 

rondes" sur' des "' alg'or i thmes 'a cle publique est 
eieve, car la puissance de calcul necessaire, a 
"temps de repohse donri'e, est importante, 

- il est' necessaire " d ' utiliser un module SAM. '* 



25 



La tr'oisieme - categcri4 de precedes concerne les 
procedes utilisant ' des " : ' sch6mas' ' de signature 
interactive. L 1 utilisation de cette technique permet de 
30" reduire * ' considerablement " la ! " puissance de calcul 
necessaire dans les cartes : ' le rapport est de 10 a 20 
avec les parametrages couramment 'utilises. A puissance 
de calcul ident ique, les temps : de reponse sont done 
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meiileurs. A temps de reponse identique, le cout des 
composants des cartes PMZ est moins eleve. 

"On utilise en general deux types de schemas 
d' authentif ication, l'un dit de GUILLOU-QUISQUATER <ou 
5 GQ en abrege) , '1' autre dit de FIAT-SHAMIR (ou FS en 
abrege) . Le numero de 1 1 Echo des Recherches cite plus 
haut contient toutes les references bibl iographiques a 
ce su]et . 

On rappelle brievement en quci consiste un schema 
10 de signature de ce type en prenant un exemple emprunte 
' 'au schema GQ . Dans ce schema, la carte, notee Ci, 
utilise ies fonctions ou parametres suivants : 
g : fonction d'expansion de 64 en 512 bits, 
h : fonction de hachage ("hashing") :■ resultat sur 
"15 " * ' ' 64 bits, 

* : operation de restriction a 128 bits poids 

faibie, 

S A et ? A : ci ^s secrete et publique de l'autorite : 
7 68 bits , ........ 

20 i : identite de la carte, sur 64 bits, 

n ': module sur 512 bits, 
cer :" S A (i,n,e) sur 768 bits, 
e : n nombre premier a 16 bits, 
v : l/I 1/e mod n, sur 512. bits. 



25 



30 



Le terminal securise Tj possede la cle publique 
P A / g / h et est identifie par j, sur 64 bits. 

operations raises en oeuvre sont alors Ies 



suivar. tes: 

D ie terminal fixe le montant m de la transaction, 
"tire un alea r et constitue le parametre M 
rassemblant m, j ' e t r , ' e t t ransme t M a la carte ; 
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2) la carte verifie que son solde (ou balance) est 
superieur au xontant m de la transaction ; si 
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c'est ie cas, la carte tire un. alea x, calcule 
t = x e mod n et b=h(t~,M) et transmet au terminal 
i/ b et le certificat cer=S A (i,n / e) ; 

3) le terminal verifie .le' certificat et obtient i n 
et e, choisit un nombre c aleatoire inferieur a e 
et envoie c a la carte ; 

4) la carte calcule y==xv c mod n et reduit son solde 
de m et transmet au terminal y et t* ; 

5) ie terminal calcule I=g(i), calcule la quantite 
u =(yerc mod n) * puis h(u,M) et verifie que b est 
egal a h{u,M) ; alors le' cerminal augmente son 
solde de m. 

15 0n peut resume: ce schema a l'essentiel de la 

maniere suivante : 

- la carte choisit un alea x, calcule t = x e modulo n 

et envoie au terminal b=h(M,t), 

- le terminal choisit alors un alea c tel que 0<c<e 
2 0 et 1' envoie a la carte, 

- la carte repond alors par y=xv c modulo n, 

- le terminal verifie alors que si u=y e I c , aiors 

b=h(M,u) (car v e I=l mod n). 

* ' ■ ' •■ 

25 Ce schema est illustre' sur "la figure 5 annexes. 

Son interet reside dans le fait que la puissance "tie 
calcul requise est inferieure au cas des schemas de 
type RSA. Mais un inconvenient subsists, car ce schema 
necessite un module SAM. En'effet, la' signature 

30 interactive n'a de valeur que si 1 ' on est sur que 
l'alea c a bien ete soumis a la carte et dans i'crdre 
indique. Les signatures ' interactive.* sont dites, pour 
cette raison, jetables : eiies ' ne sont utilisabies 
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qu'au moment ou elle : s'' sbnti t: : obtenues. En effet, 
signature interactive? T c<bmprend les -donnees M, cer, b, 
c, " v. ' Or, il est facile de creer ces- donnees de toute 
piece r'corinaissant cer'et t, on a p et i, et il suffit 
de choi sir y et" c et de calculer t=y e I' c et b=h(M,t) ; 
les donnees obtenues M 1 , : cer, b," ■ c, y- -constituent une 
signature vaiide. 

Le but de la presents invention est -jus cement de 

"remedier a ces inconvenient s. 



Expose de 1 ' invention 

A cette fin, 1' invention r ' 'propose un procede a 
" double signature, 1 ' une du type a cle • publique ou 
' ' *• secrete (notee y' dans les schemas r precedents ) , 1 ' autre 
lV :; basee sur un algorithme a cle ! secrete (notee z dans les 
; '-' schemas precedent s ). Cette : double signature est concue 
" ' " ' de fagon a ' combiner ; les" "a Vantages " dVs deux ' techniques 
' ' er impiique' done urie combinaison 'judicieuse de ces 
signatures et des elements s ignes , ' de facbn • a- condui re 
20 ef f ectivement aux avar.tages recherches. 

' Comme il a' ete explique plus Haut, dans un schema 
"de signature de type RSA , la preuve "du debit de la 
carte est obtenue par le caiculde la signature y-s (M) 
et cette ' signature ■ peut etr'e 'Verifiee" par le 
25 prestataire, sans' que " ceiui-ci ait a contenir de 
'"'secrets (il travail'le avec' la cle publique).- C'est ce 
qui est illustre sur la figure 3. 
: " :KX '*-i ' Dans un' schema ' de"" signature a cle secrete, la 
' ' preuve z est obtenue par ' un ' algori thme- a cle secrete en 
30 caiculant z=f (V , m, j , r ) ou k est "la cle secrete et, dans 
i>u - la variance sans SAH, " z n'est pas verifiable par le 
prestataire mais seulement par la bahque . Cette preuve 
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:-v>2/. avec i . { e.t, JK^ dpi t . etre. , s tockee par le prestataire 
- . puis .collected par ., la banque. .... 

. . . ,Selon-: ;i \ irjvgnt ion., jqn combine ces deux schemas de 
telle sorte-que la signature .y, .que le. prestataire peut 
5 verifier^. ; .depen.de. .de.ia . signature 2, non verifiable par 
le. -pres.ta "aire . On .a., ainsi y = s (M, 2) au lieu de y-s (M) . 
Ainsi, une modification de z en z' par 1 1 utilisateur 
• . n-ecessiterai t . cxe. modifier y en y'=5(M f z 1 ) ce qui est 
impossible puisque l.a. . f qnct ion s n'est connue que de la 
10 carte . 

Dans un schema de signature interactive, au lieu 
de calculer ..dans la , carte la fonction b=h(M,t) comme 
J f explique plus h.aut , avec t = x e mod n f on calculera une 
fonction. b.. qui .inclut la preuve z, soit b=h(M,t,z). Si 
15. 2 est, modifie . par 1 ' utilisateur en 2', alors le 
. J.pg.iciei,, du prestataire .. } s ' en apercevra. En effet, t 
.p.. 1 est ...devpile r Jindirectement ) qu ' a la fin de i'echange. 
■-: L' utilisateur . ne . .peut done calculer b ' = h ( M , t , z ' ) au 
moment ou...b' deyrait ,etre envoye au prestataire." 

. -. ^ De -fxianie.re precise,,, 1 ' invention a done pour objet: 
up.-. . precede de realisation d'une transaction 
elect ronique ,.entre _un utilisateur possedant une carte, 
un ... prestataire . possedant un terminal apte a recevoir 
2.5 cette . carte ,et un systeme centralise apte a e:re 
• connecte . periodiquement . au terminal, procede dans 
lequel : 4 - 

-,le terminal transmet a la carte un parametre 
< , ccmprenant au moms le montant de la transaction, 

30-.. . - la carte debite son solde dudit montant, 

. - la carte .et le terminal calculent et echangent 
:>v .. , div.erses donnees dont certaines sont signees par 
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12. 

: la carte au ' raoyen tK'u'h algorithme a :: cle publique 

ou secrete , ,J • 

- le terminal veriiie ' lies - ; donnees : j s ignees par ledit 
algorithme a ' cle publique bi!r ^secrete et stocke 
5' les par^m'etres' p'ropres aux diverses transactions 

realisees , 

: - ie systeme cent'iaiise" coilecte per iodiquement les 
donnees stbckees lorsqu 1 il est connecte au 
terminal et credite' ' le' presto taire des montants 
10 ' correspondants, 

ce procede etant caraccerfse par le fait qu'il est a 
double signature, les ddnries signees pair la carte a 
" : l 'aide de 1 1 algorithme" ' 'k cle publique ou secrete 
comportant une preuve 'z' que" ie debit : de la carte a- ete 
15 effectue, cette preuve z etant une fonction du 
parametre et r 'd f une ; cle" ;; Wcf ete' be' Me'bit, le -terminal 
'•'stockant ainsi, en " outre;' les j diverses preuves des 
diverses transactions'^ effectuies mais ' ne pouvant 
verifier ces preuves )'Te ; "systeme centralise collectant , 
20 en outre, ces preu'ves 'et les' \>eri'fiarit a l'aide de la 
cle secrete : de d'ebi t / ' €t fie credita-nt le <prestataire 
' ' qu ' en cas J tie verification positive. 1 

Si le paiement 4sr Tait en' licne avec un serveur 
1 " ' prestataire/ ! 1 'al^ori'thm^ peut et re 'a cle secrete. 



Breve description des dessins 

- la figure 1, deja decrite, iilustre un schema 
connu de signature avec algorithme a cle secrete 
"avec terminal deconnecte 

-la figure 2, deia decrite, iilustre un schema 
connu de" signature avec algorithme a cle secrete 
avec un terminal connecte a la' banque ; 
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,p '-i'.- .r« ia f 4-<3Ure„ 3 /, fie j a t ^ dec rite, , illustre un schema 
connu de signature avec algojithme a cie publique 

* ■ ■ r ... sana, rnpfdul,e ,,de ^ securi^e ; . • 

... T .. - la ... figure 4,,. , d£ja decrite, .illustre un schema 

, { 5. coonu.de signature avec algoritime a cie publique 

avec module de securite ; 

- la figure 5, deja decrite, illustre un schema 

connu de signature interactive ; 
> 4 - is figurje 5 illustre. un premier mode de xise en 

10 oeuvre de 1 ' invention dans le cas d'un schema de 

signature de type a cie publique 

- la. .figure 7 illustre un second mode de mise en 

oeuvre.de 1 'invention dans ie cas d'un schema de' 
. .signature interactive.,. ^ _ 

..Expose detaille d'.un.mqde de mise en oeuvre 

s ; . lC .- • On , : ya ; ,decrire, a .^titre cT exemple., un mode de mise 

. . en. oeuvre fonde su.r . une . signature interactive. Les 
. . notations .s-eront Jes. su i.ya nn.es : . f 
20 -, . - : q « : fonction d' expansion .4.8. , e.n 51.2 - bits ; 

■ h : fonction .de h^c^age .: resultat 128. bits ; 

f fcnction . de ; calc.ui. de signature a cie secrete 
, ... ,(comme DE3 par. exemple) 6 A bits ; 

restriction a .bit? de poids faible ; k 

25 parametrable de 4 a 8 ; . . 

Sj\ et Pa : cles . secrete, et publique de l'autorite : 
'768 bits. 



Les donnees contenues , dan: In carte son t 
J>0~. suivantes : 

i .: identite de \a carte : 48 bits 
n : module : 512 bits. 

cer : S ^ ( i , n , e } : certificat de 763 bits 



les 
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10' 



- e : '2 ib +i- • '-' S i ?ryl ■ --- : • .' 

v : l/I 1/e mod n : 512= bius • ?■-.<: » 
' k ':- cle secrete de- debit 1 ,^ 64: bifcs ; " .: 
bal : solde de la' carte ■ 32 bdts.^i . ,' • 

h)'' f . ••' ■■■ •-•:•'.•<.■ ..- : s • < ,„■*;,: ; 

Les ' donnees contehues •• dans le . - terminal 
prestataire sont les- suivantes : 

P A , g,h • • ' ' - -m: .'.-»o: = , 



au 



m 



identite ! du f t'ermihal ■ ■: l 'AS .bits ; 
montant ':' 16- bit s ; ' - - : f : 
conienu du corhpteur' ": 32' bits 



J ; 



-"succe'ss i ves • son.t 



alors 



Les 



; ■ ' ; • ; " ri Les ; operations 
15 suivantes : 

' iJ I) Le terminal du "prestafaire fixe le .montant m de 
: ' la transaction et ^oristitu^'M'.a. 1:' aide .. de, m, 3 et 
' le coritenu r du compteur, : et fait .passer- a r+1 ce 
' ■ contenu' ; le prestataire ■ t ransmet M, • a. ..la . carte . 
20 " ' 2) La carte- v-erif-i'e :.que le solde . n'<est .pas 

inferleur au' 'montant ; 'm.-' 5i ,c M es't D.ien. le cas, la 
carte choisit : ■ ; un "-a lea- ■>: de : 512 bits, calcule 
t=x e mod ny calcule : ' ia preuve z a .1' aide de la 
cle secrete de debit k, soit z=x!k,M-)-, calcule 
25 egalement b=h(t*,M,z), debite le solde du montant 

" :ly m, enregistre M >' la- carte pcssede le certificat 

: ; " *■ ■ de' 1'autorite • der=S A ( i ,n , e) ou S A est la cle 
' secrete " de " 1'autorite ; la carte. : transmet 
' '• finalement au terminal du prestataire -la preuve 
30 " ■' z , la fonction f et le certificat cer. ' 

; 3) Le' terminal ^du" -prestataire verifie le certificat 
. cer a l' r aide ; de la cle publique de 1'autorite P A 
e't' obtient n, e> et i" ;' ii choisit un ncmbre c 
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Id 

■n 



•2 0 



•25 



30 



a 



•i r 15 

aleatoire appele aussi chalenge., , _sur 1.6 bits et 
transmet c a la .carte. ,. , : • >'*;••■ • 

4) La cartel ,cadtule. .. y.?xyP mbd-.n^et) -.transmez y au 
terminal .'du prestataire... . . 

5) Le terminal du prestataire calcule , l=g ( i ) , puis 
u=( y e:C m od n) * ; il verifie que b est egal 
h(u,M,z) • et , ..si. . c'est , le . cas. valide la 
transaction. : Ce :r terminal collecte, i, , M et z et 
envoie ces donnees a la ba.nque . 

6) La banque, ' ;avec ,-. i, : retrouve la , cle secrete , de 
debi- k et verifie. la. preuve z = f ( k, M) ..„ La banque 
verifie que' le . coijipteur , r du terminal du 
prestataire j progresse et si c'est le cas' 

'■ f- credite le compte du prestataire j du montant m. 

...Ce' schema?, peu-f? ■■ t err e : . modi fie, en rendant la 
signature: interactive. -,non ..j etable :; et ce : l a en cha.ngeant 
-•2=-f.-(4c,M) en ■ z=f (k,M-, t*~> >.-. La. methode , de .. creation, d'une 
• •signature- -interactive jdi* M,-ce.-r, y, z.) decrite plus haut 
rie fonctionne alo.rs ,p l ; us • on .choisit y , c et M y on 
ca-lcuie- t •''••'•( y e I c . mod n).; ,.•;,, on ca leu _le. -.p~h ( z* , M, z) mais 
t. no -satisfera pas a- z = f t « ; k, M,t/ ),, Les ..donnees i, M, z, 
t*;' b, c, y, ont . a l.o-rs- : a etre memorisees chez le 
prestataire . .:•:•!.■ • >. . . 

•Le niveau de,, s ecu rite du • protpcple. precedent est 
lie a la taille du. challenge c : par exemple, si c fait. 
16 bzts, ii v .a une- ■ chance ...sur 2 i6 =65536 pour qu'un 
-emulateur de cartes,. : en devinant . c, puisse creer 
arti f icie.llement une i transaction . Le. temps de calcul de 
la carte est aussi. d.irectement . p.roportionnel a ce 
niveau » de- secu.rite, Le, niveau .de securite peut etre 
adapte .en faisant ..varier la longueur du nombre 
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aleatoire c transmis par le terminal a la catte dans le 
cas .de la signature interactive/- On per feet: ionnenent 
consiste done a faire en "softe cue' ; le' prestataire 
ajuste le niveau de securite en forVction de parametres 
5 tels que le montant * de' la' transaction, la possibilite 
d' avoir des utilisateurs avec des' fausses cartes, bien 
plus importance pour du tfelepaiement " que cu' paiement de 
contact , e tc . . . 

On voir apres cette description que le procede de 
10 1' invention presente de nombreux avantages : 

- il est peu consommateur de puissance de calcui : 

done, a performances egales, les cartes PME 
seront moins cheres, ou, a puissance egale, la 
vitesse sera plus grande, 
15 - il est utilisable sans module SAM chez les 

prestataires , 

- il minimise la quantite de memoir e de stockage 

chez le prestataire (rapport 5 a 10), 

- il reduit dans les memes proportions la quantite 
2C d 1 informations a transporter du prestataire a la 

banquc , 

- il est utilisable avec un module SAM, s'il est 

]ug e preferable d'accumuler les transactions chez 
le prestataire, mais ce module SAM ne contenant 
25 pas de cles secretes, est peu sensible, 

- il est ajustabie en niveau de la securite, suivant 

les caracier ist iques des transactions. 

On pourrait penser qu'un niveau de securite de 2-° 
30 est faible compare aux niveaux habitue Is de la 
cryptographie, ou il est courant de prendre des aleas 
sur 64 voire 512 bits. II faut cependant noter que, 
concernant le cout de recherche de la cle (ici v), 
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,,;G'est-a-dire le .nombre d'icerations a reaiiser pour 
. trouve.r la qle ", a,' "partYr d ; un 'couple cWllengV-reponse, 
le. systems propose 'a "exactement 'les" memes 
, ,. caracteristiques _ de _ securite que' les" systemes 
5 Glassiques,. Pour mettre a 'profit ce niveau de securite 
de 2 1 . 6 ,. il. fa.udr.ait, avec une fausse carte, attendre en 
moyenne. 32 000 transactions rejetees avant d'en avoir 
une acceptee. 
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:."procedede ;; realisation 1 d'une transaction 
electronique entre un utilisateu'r "possedant ! une carte 
5 (10), un prestataire possedant un terminal (20) apte a 
re.cevoir cette carte (10) et un systeme centralise (30) 
apte a etre connecte periodiquement aa terminal (20), 

procece dans lequel : 
"'- le terminal (20) transmet' a la carte un parametre 
10 (M) comprenant au mo ins le montant : ' (m) de la 

transaction, 

- la carte ( 10) " debite son'' solde ■ du montant' (m)' , 
"['' " - la carte (10)' et le terminal (20) - calculent et 
J " ' echangent " diverses' donr.ees ! dont certaines sont 

15 signees par la carte au f moyen d ' un algorithme. a 

cle publique ou secrete, 
ie terminal (20)' verifie ' ies ddnnees- signees par 
" % " '" {edit algorithms a' die ' publique' ou -secrete et 

stocke "les paramet re's ' ! prop r'es aux-diverses 
->.q transactions realisees, 

' 1 svsteme ' centralist (30) collect, periodiquement 

: ' *• ' " les donees stockees ; iorsqu ■ ii : est connecte au 
. terminal; et ' credite " le prestataire' -des montants 
. , correspondents, 
05" precede' etant' caracterVse par le fait qu'ii est a 

" '.""double "signature, leV donnes signees par la carte (10) 
" " a ' I'aide de ' 1 ' algor 1 thme : a cle publique ou secrete 
"comoortant une preuve ' z' que " le debit de ia carte a ete 
efiectue, cette preuve ' z"' etant une donation f(k.M) du 
30 parametre H et d'une cle secrete de debit (k>, le 
'terminal ' (20) stockant ainsi, en outre, les diverse* 
preuves z des diverses ' transactions effectuees 
pouvant verifier ces preuves U), le systeme centralise 
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(30) co:iectam fC!rf en r . oytre^ : ..ces preuves (z) et les 
verifiant a I'aide de la cle secrete de debit (k), et 
• ne qredi.tan.t- le prestataire (20) qu'en cas de 
verification positive . 

5 ■ «.•■-' . • . . . . ' 

, 2. Procede selon la revendica: ion 1, caracterise 
par- ,le. fait, que 1 ' une t des signatures qu'il utilise est 
une signature de type RSA et par le fait"' que la carte 
,(10) possede up. certificat de l'autorite (cer) des 
-10 -.;parametres_. . (n, e). de la cle publique (p) et de 
l'identite (i) de la carte, et caicule la signature 
y=s(M-,z! et transmet au terminal (20) le certificat 
...(cer;- , la r signature y et la preuve z," le prestataire 
. verifiant cer et y, stockant i,M et' z et le systeme 
15 . centralise: verifiant les preuves (z). 

■• . -3. ..P.ro : cede selon la revendication 1/ caracterise 
* par .le. fait qije 1 1 une des signatures qu'il utilise est 
- une .-s.ianat.ure interactive et qu'il comprenc les 
20 operations suivantes : . 

■ -<•: . la- carte .(10) possede un certificat de l'autorite 

-. ' ■ . (cer) des paramet res ( n , e i de la cle publique et 

- • . ,. de 1/identite (i) de la carte, choisit un alea 

(>:) , caicule t = x e mod n ou e' et' n definissent la 
25 cle * publique . (p) , caicule la preuve z=f(k,M) a 

. - - i'aide de la cle secrete de debit v k, caicule 
• <. b=h { t* ,.M, z) ou t* est une restriction' ce t a des 

- bits de pcids faibie, et transmet au terminal 

(20) -.la preuve .(z), le nombre b, et le certificat 
30 .. (cer) , 

.- le , terminal (20) verifie le certificat J (cer) a 
, ; ..... .I'aide de ia cle publique (p/\) et obt'ient r. , e, 
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i tire un nombK^leatoxre . ayant 

_ la carte (10) calcule y-xv 

terminal 420)V ; '^fji est une Ifonction 

5 - le texminal,;oaltule -1^ U)^.oa. 9 

^expansion, calo^ u= < y ei< mod n) . .. 

que b =n(u,M,z) > et stpcke i f M et Z, 

on , ra lise verifie. les preuves 
ri ^]_ e systeme centralise 



(z) • 



-3 r-A"acterise 
. „ l, revindication 3, ca-acue 
4 . Precede selon la m „ 

par 1. fit que le „xv..u ae ec ^ ^ 

signature est adapte er. farsant va.rer 
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